主账号 | - 当您在火山引擎官网完成账号注册后,您就拥有了一个主账号。
- 主账号默认拥有账号下所有服务的OpenAPI调用权限和控制台的操作权限,能够对资源进行购买、续费、退订、升级等操作,拥有资源的订单、账单。
|
子用户 | 子用户是一种身份,由主账号(Account)或是拥有权限的用户创建并授予相应的权限,可登录控制台或使用访问密钥(Access Key)调用API访问云服务。更多信息请参见用户管理。 |
用户组 | - 子用户的一个集合,同一个 IAM 用户可存在于多个用户组中。
- 用户组的权限由被关联的策略决定,当用户组被关联策略之后,用户组里的用户也会拥有对应的策略权限,更多信息请参见用户组管理、策略管理。
|
角色 | 角色是另一种身份,无法直接访问云服务。角色需要先配置信任关系,信任其他身份。受信任的身份通过扮演角色获取临时安全凭证来访问云服务,更多信息请参见角色管理。角色的信任身份支持的类型如下: - 用户(User):可以是一个真实的使用者,也可以是一个服务。用户被角色信任后,可使用临时凭证来访问云服务资源,保证访问的安全性。
- 账号(Account):角色可以为当前账号配置信任关系,也可以为其他账号配置信任关系。
- 云服务(Service):指火山引擎上的云服务,角色授信给服务后,该服务将能扮演账号身份访问其他云服务资源。
- 身份提供商(IdP):指客户自有的身份服务。客户可通过联邦登录能力建立起自有IdP与火山引擎IAM的信任关系,实现单点登录火山引擎控制台。
|
策略 | 策略是对权限的一种描述,IAM 提供基于身份的策略(Identity-based policies)和基于资源的策略(Resource-based policies)。不论是用户、用户组还是角色,都需要通过关联策略来赋予权限。 - 基于身份的策略:是指绑定在身份上的策略,用于为指定身份赋予访问云资源的权限。
- 基于资源的策略:是指绑定在资源上的策略,用于描述资源可被何种身份进行何种访问。 注意:IAM 角色既是一种身份,也是一种资源。当角色作为身份时,需要关联权限策略来表达角色所拥有的访问权限(与角色扮演产生的临时凭证权限有关)。当角色作为资源时,需要关联信任策略来表达角色可被何种身份访问(即角色可被何种身份扮演)。角色的具体用法参考角色管理文档。
|
项目 | 项目是一组资源的集合。创建云产品资源的时候,可选择将资源放置在指定的项目中,还可以在资源管理控制台中,对项目内的资源进行查询以及迁入、迁出操作,更多信息请参见项目管理。 |